Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] GUI front-end to some secure file-transfer

To: inet-admins@info.east.ru
Subject: Re: [inet-admins] GUI front-end to some secure file-transfer
From: vf@usb.gf.unity.net (Vadim Fedukovich)
Date: Fri, 11 Dec 1998 17:49:10 +0000 (GMT)
In-Reply-To: <19981210185916.A454@rtsnet.ru> from "Igor Vinokurov" at Dec 10, 98 06:59:16 pm
Reply-To: inet-admins@info.east.ru
Sender: inet-admins@info.east.ru

> 
> On Thu, Dec 10, 1998 at 16:52 +0000, Vadim Fedukovich wrote:
> > > > По умолчанию SSL не требует сертификатат и личный ключ у клиента.
> > > > А чтобы сделать авторизацию как раз и надо сказать SSL-серверу или
> > > > stunnel чтобы требовал представить сертификат и продемонстрировать
> > > 
> > > Да, это только шифрующий туннель.
> > 
> > Конечно, по крайней мере версия 2.0a каторую я смотрел. Но одна 
> > добавленная туда строчка заставляет stunnel требовать сертификаты 
> > пользователей. А SSL без сертификата пользователя аутентификации 
> > не дает никакой.
> 
> А ты не пробовал эту строчку посылать автору, чтобы он
> дополнительную опцию сделал для stunnel?

Нет, не отправлял. Наверно, надо было сразу просто возмутится что stunnel НЕ
обеспечивает аутентификацию. Врядли аутентификация на уровне тунеля
кого-нибудь интересует; это дело приложений. Ну а если все-таки надо, то

int verify = SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT|
 SSL_VERIFY_CLIENT_ONCE;
SSL_CTX_set_verify(,verify,);

> > > > знание личного ключа. Ну, а авторизацию сделать по содержимому
> > > > сертификата.
> > > 
> > > А не проще пропускать только клиентов с валидными сертификатами?
> > 
> > Валидный сертификат обеспечит только аутентификацию; тогда для
> > авторизации нужны дополнительные списки; текстовые файлы или ldap
> > сервер. Если так не хочется, тогда все должно быть в сертификате
> > и должен быть анализ его содержимого. Если конечно делается система
> > в которой разным группам пользователей доступны разные сервисы.
> 
> stunnel призван быть универсальным, а так вся идея ломается.
> Или я чего не понял?

приложение (не тунель) аутентифицирует пользователя, само или получает
какие-либо hint'ы, например от kerberos или других баз пользователей.
Netscape проталкивает решения с ldap сервером где хранятся права
пользователей на доступ к сервисам. Только вот сервисам надо бы уметь
общаться со slapd вместо чтения /etc/passwd, /etc/group. Прямая
аналогия с name server.

> Вообше, можно, наверно, сделать так, как в tcpd'ешных hosts.deny
> и hosts.allow, только вместо адресов сертификаты.

Вот как раз и делается попытка уйти от хранения списков прав (например
/etc/group) на каждой машине к базе, одной на весь site.

Вадим Федюкович
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

Follow-Ups:
- Re: [inet-admins] GUI front-end to some secure file-transfer
  - From: Igor Vinokurov

References:
- Re: [inet-admins] GUI front-end to some secure file-transfer
  - From: Igor Vinokurov

Prev by Date: Re: [inet-admins] Cristmas gift: Hackers-on-the-stick ;) (fwd)
Next by Date: Re: [inet-admins] Cristmas gift: Hackers-on-the-stick ;) (fwd)
Previous by thread: Re: [inet-admins] GUI front-end to some secure file-transfer
Next by thread: Re: [inet-admins] GUI front-end to some secure file-transfer
Index(es):
- Date
- Thread